Nach dem, was ich an verschiedenen Stellen wie hier , hier oder hier lese , ist es nicht sicher, die persönliche API dem Front-End-Dapp über RPC zugänglich zu machen.
Daher geth --rpc --rpcapi "eth,net,web3,personal" --rpccorsdomain "http://yourDomain
ist es nicht sicher, die Benutzer zum Ausführen aufzufordern.
Meine Frage ist, warum ist das so? Ich habe den Eindruck, dass die Links, die ich bereitgestellt habe, durchscheinen, aber ich bin immer noch etwas unklar.
Vielen Dank!
BEARBEITEN
Aus den Antworten möchte ich meine Verwirrung etwas erweitern / klären:
Ein Benutzer meldet sich an seinem Computer an und tippt etwas geth --rpc --rpcapi "eth,net,web3,personal" --rpccorsdomain "http://yourDomain.com"
auf dem Terminal ein.
Dadurch kann sein Knoten lauschen http://yourDomain.com
. Dann öffnet er einen Browser und geht auf die Dapp unter http://yourDomain.com
.
Dann wäre er sicher in der Lage, mit seinem eigenen Knoten und seinen Konten herumzuspielen, aber wie könnte ein externer Angreifer das tun?
Aktualisierung:
Wer könnte hacken?
Antwort: Jeder, mit böswilliger Absicht.
Wie wäre jemand in der Lage, die oben genannten Aufgaben auszuführen?
Antwort: Von seiner Browserkonsole aus könnte er Folgendes tun.
var Web3 = require('web3');
var web3 = new Web3();
web3.setProvider(new web3.providers.HttpProvider("http://yourDomain"));
for(i=0;i<100000000;i++){
web3.personal.newAccount(/*some random function*/);
}// There the hacker could able to create 100000000 many accounts in your server.
web3.eth.defaultAccount="0xHackersOwnAccount"; //As the hacker knows somehow all incoming money transfer is to your default account, but alas !! no more
Ich hoffe, ich habe nicht den falschen Kerl unterrichtet.
EugVal
EugVal